Улучшена поддержка таблиц в при фильтрации по MAC адресам в ipfw2

24.11.2008 12:22

"ipfw: layer2 lookup tables" - Gleb Kurtsou улучшил поддержку таблиц в при фильтрации по MAC адресам в ipfw2. Например, стало возможно привязывать mac адрес к IP подсети, расширены возможности использования таблиц, например:


ipfw table 1 add 192.168.1.0/24 ether 00:11:11:11:11:11
ipfw table 1 add 192.168.1.0/24 ether 00:22:22:22:22:22
ipfw table 1 add 192.168.1.0/24 ether 00:33:33:33:33:33

# equivalent to: ipfw table 2 add any ether ...
ipfw table 2 add ether 00:11:11:11:11:11
ipfw table 2 add ether 00:22:22:22:22:22
ipfw table 2 add ether 00:33:33:33:33:33
ipfw table 2 add ether ff:ff:ff:ff:ff:ff

ipfw add 1000 allow ip from 'table(2)' to 'table(2)' layer2

# layer3
ipfw add 2000 allow ip from 'table(1)' to 'table(1)'

исправить +/–

Главная ссылка к новости (http://blogs.freebsdish.org/gl...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/19058-ipfw

Ключевые слова: ipfw, mac, arp, freebsd

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (13)

1.1, Осторожный (ok), 13:58, 24/11/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Лучше бы новый pf портировали из OpenBSD И вставили туда поддержку MAC ;)

2.2, RapteR (ok), 14:22, 24/11/2008 [^] [^^] [^^^] [ответить]	+/–
Ну так и сидите в OpenBSD, кто мешает то?)

3.4, PereresusNeVlezaetBuggy (ok), 14:54, 24/11/2008 [^] [^^] [^^^] [ответить]	+/–
Ну так не всем нравится. Да и другие ограничения бывают: например, я ещё не видел, чтобы кто-то смог завести Oracle по опёнком. :(

2.13, Gleb Kurtsou (?), 23:49, 17/07/2009 [^] [^^] [^^^] [ответить]	+/–
Поддержка MAC'ов к pf уже тоже давно прикручена.

1.3, PereresusNeVlezaetBuggy (ok), 14:53, 24/11/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вот интересно, а не проще юзать DHCP (по необходимости, со статической привязкой) и фильтровать, как и все нормальный люди, по IP? Всё-таки не стоит лишний раз мешать уровни OSI... Но это лишь IMHO. :)

2.5, RapteR (ok), 14:56, 24/11/2008 [^] [^^] [^^^] [ответить]	+/–
>Вот интересно, а не проще юзать DHCP (по необходимости, со статической привязкой) >и фильтровать, как и все нормальный люди, по IP? Всё-таки не >стоит лишний раз мешать уровни OSI... Но это лишь IMHO. :) я злой вася пупкин, очень продвинутый юзер. взял и отключил у себя дхцп клиента и прописал ручками себе ип. что дальше? тем более не надо так узко рассматривать таблицы маков только как средство для контролера за машинками в локалке.

3.6, PereresusNeVlezaetBuggy (ok), 15:33, 24/11/2008 [^] [^^] [^^^] [ответить]

+/–

>>Вот интересно, а не проще юзать DHCP (по необходимости, со статической привязкой)
>>и фильтровать, как и все нормальный люди, по IP? Всё-таки не
>>стоит лишний раз мешать уровни OSI... Но это лишь IMHO. :)
>
>я злой вася пупкин, очень продвинутый юзер. взял и отключил у себя
>дхцп клиента и прописал ручками себе ип. что дальше? тем более
>не надо так узко рассматривать таблицы маков только как средство для
>контролера за машинками в локалке.

А я - злой Вася Скалкин, взял да и поменял MAC на сетевухе.

Читайте внимательнее, пожалуйста, речи о том, что данное решение можно использовать как полноценную защиту, не было.

4.7, RapteR (ok), 17:57, 24/11/2008 [^] [^^] [^^^] [ответить]	+/–
все равно нафиг не нужен в данном случае DHCP - зачем мне систему грузить лишними демонами, если ipfw все сам умеет, тем более это удобно использовать для сбора статистики втыкая груба говоря в разрыв кабеля такой прозрачный шлюз и по макам группировать трафик...

5.8, PereresusNeVlezaetBuggy (ok), 18:04, 24/11/2008 [^] [^^] [^^^] [ответить]

+/–

>все равно нафиг не нужен в данном случае DHCP - зачем мне
>систему грузить лишними демонами, если ipfw все сам умеет, тем более
>это удобно использовать для сбора статистики втыкая груба говоря в разрыв
>кабеля такой прозрачный шлюз и по макам группировать трафик...

Ну, если dhcpd - это очень большая нагрузка на систему... ;) Хотя, возможно, в каком-то экстремальном случае (типа совсем-совсем embedded) это может быть оправдано, согласен.

А вот шлюз может прекрасно фильтровать по IP. Более того, таких решений намного больше. И удобнее это делать по IP, т.к. можно оперировать подсетями или просто блоками адресов. Например: блок 192.168.5/24 - бухгалтерия, блок 192.168.6/24 - продав... сорри, манагеры:) и т.д.

И повторю свой тезис: не стоит мешать уровни OSI...

6.9, RapteR (ok), 18:14, 24/11/2008 [^] [^^] [^^^] [ответить]	+/–
>И повторю свой тезис: не стоит мешать уровни OSI... Ну в там случае использовать железячный МАК логичнее...

7.11, PereresusNeVlezaetBuggy (ok), 18:39, 24/11/2008 [^] [^^] [^^^] [ответить]	+/–
>>И повторю свой тезис: не стоит мешать уровни OSI... > >Ну в там случае использовать железячный МАК логичнее... Если речь идёт об одном сегменте сети, то да. Правда, не могу придумать ни одного случая подобной необходимости. Если же речь идёт о логической адресации (когда не хочется забивать себе голову тем, сколько свичей стоит между маршрутизатором и хостом), то это уже, очевидно, вотчина 3-го уровня.

5.10, SunRock (?), 18:33, 24/11/2008 [^] [^^] [^^^] [ответить]	+/–
Угу - есть ещё дебилы в самых отдалённых местечках таймырской тайги, которые IP-шники по ярангам раздают ручками с записью в тетрадке или ехеле ... народ из побаивается и кличет шаманами. 8-\

6.12, Gleb Kurtsou (?), 23:47, 17/07/2009 [^] [^^] [^^^] [ответить]	+/–
Угу. А есть еще дебилы-провайдеры которые привязывают пользователя к маку и секъюрити здесь не причем. У вас в тайге наверное таких еще нет.

Добавить комментарий

Текст: